Société

Cyberespionnage : la guerre des failles a commencé

Mis à jour le 4 décembre 2013 à 17:15

Une poignée de sociétés américaines, chinoises et françaises s’attachent à dénicher des défaillances dans les logiciels grand public. Elles les revendent ensuite, à prix d’or, à des États « amis ».

Au cours de l’été 2010, la centrale nucléaire iranienne de Natanz subit une attaque sans précédent. La vitesse de rotation des centrifugeuses est modifiée, ce qui provoque des explosions et un dérèglement des systèmes de contrôle. On découvrira par la suite que c’est un redoutable ver informatique, Stuxnet, mis au point conjointement par les États-Unis et Israël qui est à l’origine de cette ­cyberattaque. À en croire Barack Obama, celle-ci a retardé d’au moins dix-huit mois le programme nucléaire de la République islamique. L’analyse ultérieure d’échantillons de ce ver a ­permis de découvrir qu’il intégrait plusieurs failles du logiciel Windows jusqu’ici inconnues.

Dans le jargon des spécialistes, les failles dans certains logiciels grand public sont appelées zero day. Une poignée d’entreprises de sécurité informatique dirigées par de très discrets hackers se sont fait une spécialité de les dénicher puis de les revendre à prix d’or à des agences de renseignements, parfois par le biais d’intermédiaires pour mieux brouiller les pistes. "The Grugq", un Sud-Africain établi à Bangkok, est l’un de ces intermédiaires grassement rémunérés : son train de vie est, à l’évidence, fastueux.

Ce marché de l’armement technologique d’État est atypique, opaque, mais, depuis une dizaine d’années, en pleine expansion. Aux trois armes traditionnelles – terre, air et mer -, il convient donc désormais d’en ajouter une quatrième : le cyber.

>> Lire aussi "Monde arabe : cliquez, vous êtes surveillé"

Avec son allure débonnaire et son visage jovial, l’Américain Adriel Desautels (37 ans) ne ressemble pas du tout à un marchand d’armes, fussent-elles numériques. Jeune hacker à la fin des années 1990, il crée sa propre entreprise, qu’il baptise Netragard. Depuis, il achète des failles informatiques qu’il revend à diverses institutions, toutes américaines. "Ce que je vends n’est en soi pas dangereux. Mais entre les mains d’un État belliqueux, ça peut devenir une arme redoutable. Et je ne veux pas qu’on puisse s’en servir pour attaquer les États-Unis", explique-t-il. Prix moyen desdites armes ? "5 000 dollars en 2010, 72 000 en 2012, plusieurs centaines de milliers aujourd’hui."

"Un bon zero day est plus cher qu’un diamant"

En apparence, celles-ci n’ont rien pour inspirer la terreur puisqu’elles se présentent sous la forme d’un fichier informatique de quelques kilo-octets – moins qu’un MP3 – le plus souvent écrit en binaire, donc composé d’une succession variable de 0 et de 1. Mais elles exploitent dans les logiciels des failles dont même les fabricants ignorent l’existence ! "Un bon zero day est plus rare et plus cher qu’un diamant", estime un connaisseur. Son prix ? Autour de 200 000 dollars. En réalité, sa valeur est fonction de la complexité et de la rareté de la faille, du nombre des utilisateurs du logiciel "troué" et des caractéristiques stratégiques de la cible. "C’est la loi de l’offre et de la demande. Si un hacker découvre une perle qu’il est le seul à posséder, cela peut dépasser le million de dollars. Il y aura toujours un État pour l’acheter." Selon l’agence Reuters, l’État américain est le plus gros acheteur. Aucune estimation officielle du montant de ce marché "gris" n’a encore été rendue publique, mais, selon plusieurs experts, il oscillerait entre 500 millions et plus de 1 milliard de dollars. Mais le coût des destructions que les failles sont susceptibles de provoquer est évidemment très supérieur : plusieurs dizaines de milliards de dollars.

Les géants du web, Google en tête, courtisent Chaouki Bekrar, mais il n’hésite pas à les narguer sur Twitter.

Français d’origine algérienne, Chaouki Bekrar est un leader mondial du secteur. L’insolence et le style agressif de cet ex-hacker sulfureux ont contribué à forger sa légende. Dans le petit monde très fermé du cyberespionnage, il est, au choix, admiré ou redouté, parfois les deux à la fois. Mais il s’en moque et poursuit son job : découvrir des failles et les revendre aux services secrets. Les géants du web, Google en tête, le courtisent, mais il n’hésite pas à les narguer sur Twitter : "Chères entreprises privées qui nous contactent […], peu nous importe qui vous êtes, nous ne parlons qu’avec les gouvernements." Vupen, la société qu’il a créée en 2004 avec son épouse, a son siège à Montpellier, dans le sud de la France, mais elle vient d’ouvrir un bureau dans le Maryland, aux États-Unis, non loin du siège de la (trop) célèbre National Security Agency (NSA), qu’elle compte parmi ses clients. Ses équipes se composent de "pointures" de l’informatique et des mathématiques appliquées, qui travaillent à automatiser la détection des failles. Parmi elles, Sofia Bekrar, la propre soeur du hacker, qui a récemment rejoint Vupen après avoir soutenu à l’université de Grenoble une thèse de doctorat consacrée à une méthode de détection des failles.

Régulièrement, ses concurrents américains le soupçonnent de traiter avec des États autoritaires. Il arrive que les échanges soient vifs, mais Bekrar assure respecter les embargos imposés par Bruxelles et Washington. Ses clients sont selon lui "tous des États membres de l’Otan et leurs partenaires". A-t-il d’ailleurs le choix ? Ses activités sont strictement encadrées par les services français. Et ses ventes soumises pour approbation à la commission interministérielle pour les exportations de matériels de guerre.


Surnommé The Grugq, ce Sud-Africain établi à Bangkok sert d’intermédiaire
-grassement rémunéré- entre vendeurs et acheteurs. © DR

Un abonnement annuel : 2,5 millions de dollars contre 25 failles zero day

Dans les conférences internationales comme Defcon, à Las Vegas, hackers et militaires sont amenés à se croiser, à échanger des informations et, parfois, à conclure des affaires. L’an dernier, le général Keith Alexander, directeur de la NSA, a lancé un appel à un rapprochement général. Dans l’intérêt, bien sûr, de la défense nationale. Selon le Washington Post, la NSA conçoit elle-même la plupart des failles et des "exploits" qu’elle utilise dans ses cyberattaques. Mais elle dispose parallèlement d’un budget de 25 millions de dollars pour ses "achats additionnels secrets".

Ancien directeur de la NSA, Kenneth Minihan a rejoint récemment la très discrète société Endgame, qui propose à ses clients un abonnement annuel : 2,5 millions de dollars en échange de vingt-cinq failles zero day. "Endgame est proche des agences américaines, commente un spécialiste anglo-saxon, de la même manière que Coseinc (Singapour) l’est des chinoises et Vupen des françaises. Le secteur est si sensible et les services secrets si vigilants qu’elles n’ont pas le choix. La préférence nationale s’applique tout naturellement."

Pour tous ces États, les failles constituent un enjeu stratégique, parce qu’elles facilitent notamment l’infiltration des systèmes informatiques étrangers dans le cadre de la guerre économique. Et parce qu’elles permettent parfois de déclencher des offensives cybernétiques de grande ampleur. La course à l’armement numérique d’État est bel et bien lancée.

>> Voir aussi notre carte interactive de la surveillance d’internet en Afrique du Nord et au Proche-Orient

Vers des cyberattentats ?

"D’un point de vue éthique et sécuritaire, les géants de l’informatique devraient acheter immédiatement l’ensemble des failles découvertes par les hackers. Mais c’est compliqué, parce que le marché est contrôlé par les États", estime le hacker Adriel Desautels. De fait, ils s’en abstiennent le plus souvent. Négligence ou volonté délibérée ? Selon une source bien informée, les grandes firmes américaines, une fois informées de l’existence d’une faille zero day, en informent en priorité la NSA et "s’engagent à ne pas la rectifier pendant quarante-huit heures". Microsoft tente pourtant de rattraper son retard en la matière. Au cours de l’été dernier, l’entreprise a proposé aux hackers de leur acheter des zero days en échange d’une "récompense" pouvant aller jusqu’à 100 000 dollars. Proposition que le spécialiste français Hervé Schauer balaie d’un revers de main : "De la poudre aux yeux, il est possible de vendre un zero day beaucoup plus cher." Pour le moment, les États sont les uniques clients de l’industrie de l’armement numérique. Mais peut-on exclure que des "cyberarmes" tombent entre les mains de mafias ou d’organisations terroristes ? Verra-t-on un jour des attentats cybernétiques ou des cyberguerres asymétriques ?